OSCam-Serverund CCCam-Client, Datenaustausch verschlüsselt?

[dev5fr]

Hallo Community,

ich habe eine Thread im Forum: "Root / Vserver Server Sicherheit" eröffnet um die Frage zu erörtern, ob der Raspi den IPC11.5/OSCam und einen VPN-Server parallel schafft.
(https://www.digital-eliteboard.com/355280-schafft-der-raspi-cs-und-openvpn-parallel.html)

Dabei wurde mir eine persönliche Meinung zu diesem Thema offenbart, dass VPN für diese Anwendung oversized sei, da der Datenaustausch zwischen CS und Client sowieso schon verschlüsselt erfolgt. Ist das wirklich so? Welche Technologie/Verschlüsselung wird genutzt?

Meine Sorge ist, dass event. die Möglichkeit besteht Datenpakete zu filtern und somit die Quelle ausfindig gemacht werden kann.

Danke!

Gruß dev5fr

 

[janni1]

AW: OSCam-Serverund CCCam-Client, Datenaustausch verschlüsselt?

Hi,
hier mal eine sehr gute Erläuterung von @gandalf aus dem Keywelt-Board:

Die CCCam sendet mit einem eigenen Protokoll und da ist nichts im Klartext.
Wenn der Client beim Server rein kommt und die Portaushandlung läuft wird für jeden Client ein Session-Key erzeugt und mit diesem wird das Client-Login verschlüsselt, die Übergabe des Key an den Client erfolgt mit einem eigenen CCCam-Protokoll und ist daher ziemlich sicher.

Wer trotzdem noch bedenken hat kann ja zusätzlich noch IP-Sec in Form einer VPN-Verbindung machen.

Es nutzt nichts sich als CCCam-Client bei einem Server auszugeben denn neben dem Session-Key müssen auch die Logindaten stimmen sonst baut der Server keine Vebindung auf und die sind nun mal nicht im Klartext für einen Angreifer verfügbar, selbst dann nicht wenn er den Session-Key irgendwie doch bekommt denn der eigentliche Schlüssel mit dem die Server-Client-Verbindung dann tatsächlich verschlüsselt wird ergibt sich aus den Logindaten und dem Session-Key, erst dann ist die Verbindung aktiv und der Client kann ECM-Anfragen senden bzw. CW's empfangen.

Solange keiner seine Logindaten weiter gibt kann auch von einem sicheren System ausgegangen werden, mit Portscannern ist bei CS-Servern in der Regel nichts zu holen da diese sich nicht selber melden und sich so der Aufmerksamkeit von solchen Scannern entziehen, wenn man CS-Server finden will muss man Trafficanalyse betreiben und das ist bei dem Datenaufkommen im I-Net nicht einfach und sehr Zeitaufwändig, eine CS-Verbindung ist zwar relativ einfach zu finden da es ganz bestimmte zeitliche Intervalle zwischen Server<->Client gibt aber die Verbindungszuordnung ist fast unmöglich und selbst wenn es gelingt sind aus solchen Daten keine Anhaltspunkte auf die realen Leute dahinter zu erhalten.

Das gilt übrigens für alle anderen Protokolle auch.

Gruß
janni1